NCSC ønsker å varsle om en ny sårbarhet i Oracle WebLogic Server med CVE-nummer CVE-2020-14750 1. Sårbarheten er relatert til CVE-2020-14882, som var en del av Oracle sin kvartalsvise oppdatering i oktober 2, og som NCSC har varslet om tilgjengelig utnyttelseskode for 3. Sårbarheten muliggjør fjernkjøring av vilkårlig kode uten krav om autentisering eller brukerinteraksjon.

NCSC ønsker å påpeke at listen over sårbare versjoner er lik som for CVE-2020-148823. Oracle har publisert sikkerhetsoppdateringer for de berørte versjonene 1.

Sårbare versjoner:
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.3.0
Oracle WebLogic Server 12.2.1.4.0
Oracle WebLogic Server 14.1.1.0.0

NCSC er på nåværende tidspunkt ikke kjent med aktiv utnyttelse av denne sårbarheten, men Oracle rapporterer selv at det er publisert offentlig tilgjengelig utnyttelseskode1.

NCSC anbefaler systemeiere å oppdatere sårbare systemer så snart det lar seg gjøre.

Referanser:
1 https://www.oracle.com/security-alerts/alert-cve-2020-14750.html
2 [TLP:HVIT][NCSC-varsel] Kvartalsvise sikkerhetsoppdateringer fra Oracle - oktober 2020
3 [TLP:HVIT][NCSC-varsel] Tilgjengelig Proof of Concept til sårbarhet i Oracle WebLogic